comment supprimer Winsudate\gibusr.exeRésolu/Fermé

Question

Bonjour,

j'ai des soucis avec mon PC, UC à 100%
impossible à démarrer le service Pare Feu
et dans les programmes lancer au démarrage je vois (via TuneUp) Winesm32.exe + WinUsr....

je fais un scan avec Malwarebyte's pour le moment, je post dès que j'ai un rapport...

pourriez-vous m'aider à corriger mes soucis SVP ?

anthony5151 · Answer

Bonjour,


Il s'agit de l'adware GibMedia (susceptible de changer ta page d'accueil, de recueillir des informations personnelles...). Cette infection s'installe via des sites proposant des programmes "piégés", tu trouveras une liste de ces sites ici.

Normalement MalwareBytes le supprime bien (je te le confirmerai en voyant le rapport).

nickcold · Answer

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3805
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

28/02/2010 13:16:18
mbam-log-2010-02-28 (13-16-10).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 212183
Temps écoulé: 1 hour(s), 12 minute(s), 32 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 25

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mshusbvideo (HackTool.Agent) -> No action taken.
HKEY_CLASSES_ROOT\hottvplayer.htplayer (Adware.EGDAccess) -> No action taken.
HKEY_CLASSES_ROOT\hottvplayer.htplayer.1 (Adware.EGDAccess) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\HotTVPlayer (Adware.EGDAccess) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\drivers\gearaspiwdm.sys (HackTool.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\G&M\Menu Démarrer\Programmes\Démarrage\winesm32.exe (Worm.KoobFace) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0J2L4N67\gibcom[1].dll (Adware.Gibmedia) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\89ABUVWF\gibidl[1].dll (Adware.Gibmedia) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\89ABUVWF\gibusr[1].exe (Adware.Gibmedia) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\YH0J23MN\gibupt[1].exe (Adware.Gibmedia) -> No action taken.
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP1035\A0053804.exe (Adware.Gibmedia) -> No action taken.
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP1035\A0053805.exe (Adware.Gibmedia) -> No action taken.
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP1035\A0053806.dll (Adware.Gibmedia) -> No action taken.
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP1035\A0053807.dll (Adware.Gibmedia) -> No action taken.
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP1035\A0053808.exe (Adware.Gibmedia) -> No action taken.
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP1045\A0054008.sys (HackTool.Agent) -> No action taken.
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP1045\A0054161.sys (HackTool.Agent) -> No action taken.
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP1045\A0054162.sys (HackTool.Agent) -> No action taken.
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP1045\A0057919.sys (HackTool.Agent) -> No action taken.
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP1045\A0057944.sys (HackTool.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\eabusb.sys (HackTool.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\gearaspiwdm.sys (HackTool.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\incdpass.sys (HackTool.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\incdrm.sys (HackTool.Agent) -> No action taken.
C:\WINDOWS\system32\drivers
x6000.sys (HackTool.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\qzlopxbu.sys (HackTool.Agent) -> No action taken.
C:\WINDOWS\Temp\3F.tmp (Adware.Gibmedia) -> No action taken.
C:\WINDOWS\Temp\~TM105.tmp (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\G&M\Local Settings\Application Data\av.exe (ROGUE.Win7Antispyware2010) -> No action taken.
C:\Documents and Settings\G&M\Application Data\avdrn.dat (Malware.Trace) -> No action taken.

nickcold · Answer

que dois-je supprimer car il y a des drivers que je dois laisser ... j'imagine

anthony5151 · Answer

Sélectionne tout et supprime tout
Ensuite, fais redémarrer ton ordinateur et utilise ce logiciel de diagnostic :

• Télécharge ZHPDiag
• Laisse toi guider lors de l'installation
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

nickcold · Answer

ci-joint le lien du rapport demandé

http://www.cijoint.fr/cjlink.php?file=cj201003/cijfILJLjE.txt

merci pour ton aide

anthony5151 · Answer

Il y a une infection de disque amovible :

• Télécharge USBFix (de Chiquitine29 et C_XX) sur ton Bureau
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
• Double clique sur le programme USBFix sur ton Bureau.
• Au menu principal, choisis l'option 2 (Suppression)
• Ton Bureau va disparaitre, puis l'ordinateur va redémarrer --> c'est normal
• Laisse travailler l'outil jusqu'au bout
• A la fin, le rapport va s'afficher --> poste le dans ta prochaine réponse stp

Aide en images : Nettoyage



Ensuite, il reste des éléments néfastes à supprimer avec ZHPFix :

• Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
• Copie/colle les lignes suivantes et place les dans ZHPFix :

O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) --
O51 - MPSK:{2354de73-c193-11da-8b99-0014a56162ed}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\ReadMe.exe (.not file.) 
O51 - MPSK:{9c9047a4-fd3e-11db-8c03-0014a56162ed}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe killVBS.vbs (.not file.)     
O53 - SMSR:HKLM\...\startupreg\Install5G  [Key] . (.Pas de propriétaire - Pas de description.) -- D:\Install.exe   
O58 - SDL:[MD5.00000000000000000000000000000000] - 01/03/2010 - 02:50:45 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\qzlopxbu.sys    
O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\QZLOPXBU.sys - qzlopxbu (qzlopxbu)  .(.Pas de propriétaire - Pas de description.) - LEGACY_QZLOPXBU 


• Clique sur « Tous », puis sur « Nettoyer »
• Copie/colle la totalité du rapport dans ta prochaine réponse

nickcold · Answer

rapport sur mon poste (où est présente ma clé USB)


############################## | UsbFix V6.097 |

User : N (Administrateurs) # PORTABLE_
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 18:45:08 | 01/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     T7250  @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 48,83 Go (22,55 Go free) # NTFS
D:\ -> Disque fixe local # 249,25 Go (16,97 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 982,05 Mo (758,88 Mo free) [KINGSTON] # FAT32
H:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\logiciels\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Intel\WiFi\bin\EvtEng.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\logiciels\LogMeIn\x86\RaMaint.exe
C:\logiciels\LogMeIn\x86\LogMeIn.exe
C:\logiciels\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Logiciels\Nero 8\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\logiciels\LogMeIn\x86\LogMeInSystray.exe
C:\logiciels\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe

################## | Elements infectieux |

Supprimé ! C:\WINDOWS\server.exe 
Supprimé ! C:\Recycler\S-1-5-21-1202660629-1960408961-725345543-1003 
Supprimé ! D:\Recycler\S-1-5-21-1202660629-1960408961-725345543-1003 
Supprimé ! F:\killVBS.vbs  

################## | Registre |

Supprimé ! [HKLM\software\microsoft\shared tools\msconfig\startupreg\MsServer]  
Supprimé ! [HKLM\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.2]  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{2529d104-4cff-11de-9b40-001d09da79fc}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{253d76e6-e19d-11de-9c6e-001d09da79fc}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{5b89b3d1-568e-11dd-98d3-001fe1f04581}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{5b89b3d2-568e-11dd-98d3-001fe1f04581}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{7c844d92-7e93-11de-9bb2-001d09da79fc}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{8b3aa4ac-7a98-11de-9ba7-001d09da79fc}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{d08f479e-5bc5-11dd-98dd-001fe1f04581}\Shell\Auto\Command  

################## | Listing des fichiers présent |

[11/01/2010 23:52|--a------|1024] C:\.rnd 
[16/06/2008 20:03|--a------|0] C:\AUTOEXEC.BAT 
[29/11/2009 20:48|---hs----|212] C:\boot.ini 
[17/09/2002 21:52|-rahs----|4952] C:\Bootfont.bin 
[16/06/2008 20:03|--a------|0] C:\CONFIG.SYS 
[16/06/2008 20:03|-rahs----|0] C:\IO.SYS 
[16/06/2008 20:03|-rahs----|0] C:\MSDOS.SYS 
[03/08/2004 21:38|-rahs----|47564] C:\NTDETECT.COM 
[16/06/2008 21:21|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[02/01/2009 23:14|--a------|7] C:	w0001.dat 
[01/03/2010 18:48|--a------|4087] C:\UsbFix.txt 
[03/11/2008 23:11|--a------|25] C:\Velogiciel.ini 
[04/02/2010 11:29|---hs----|89088] F:\Thumbs.db 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs). 
# D:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs). 
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PORTABLE_NICOLA.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.097 ! |

nickcold · Answer

ci-dessous le rapport usb fix sur le poste initial


############################## | UsbFix V6.097 |

User (Administrateurs) # 
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 19:03:20 | 01/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 Processor 3200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.11
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 74,52 Go (35,43 Go free) # NTFS
D:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-165564061-236459591-3290174961-1006 
Supprimé ! C:\Recycler\S-1-5-21-165564061-236459591-3290174961-500 
Supprimé ! C:\Recycler\S-1-5-21-2879924622-1092951517-918528760-1003 
Supprimé ! C:\Recycler\S-1-5-21-823518204-1958367476-725345543-1003 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{dab03636-93f5-11db-8be7-0014a56162ed}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[01/03/2010 18:23|--a------|1024] C:\.rnd 
[30/08/2008 11:48|-rahs----|216] C:\boot.ini 
[05/08/2004 09:00|-rahs----|4952] C:\Bootfont.bin 
[03/09/2006 14:47|--a------|2198] C:\egd.txt 
[14/06/2008 16:34|--a------|77] C:\FilterLog.log 
[07/03/2006 23:48|--a------|4856] C:\INSTALL.LOG 
[29/04/2006 13:49|-rahs----|0] C:\IO.SYS 
[29/04/2006 13:49|-rahs----|0] C:\MSDOS.SYS 
[05/08/2004 09:00|-rahs----|47564] C:
tdetect.com 
[05/08/2004 09:00|-rahs----|251712] C:
tldr 
[?|?|?] C:\pagefile.sys 
[01/02/2007 15:58|--a------|75] C:\prv_log.txt 
[01/03/2010 19:05|--a------|2951] C:\UsbFix.txt 
[01/03/2010 18:29|--a------|31654] C:\ZHPExportRegistry-01-03-2010-18-29-47.txt 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_SARRY.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.097 ! |

anthony5151 · Answer

Très bien, fais redémarrer l'ordinateur et poste un nouveau rapport ZHPDiag stp

nickcold · Answer

ci-joint le rapport : http://www.cijoint.fr/cjlink.php?file=cj201003/cijnKvQMWV.txt

anthony5151 · Answer

Il y a un élément qui a résisté à la suppression par ZHPDiag... On va devoir utiliser un programme plus puissant


/!\ Attention /!\
Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.


/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

nickcold · Answer

rapport Combo : http://www.cijoint.fr/cjlink.php?file=cj201003/cijlrg2JSu.txt

anthony5151 · Answer

Voici un script qui va demander à Combofix de supprimer les éléments récalcitrants :


/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour nickcold, il n'est pas transposable sur un autre ordinateur ! 

• Télécharge ce dossier nickcold.zip 
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination 
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau. 

• Désactive tes logiciels de protection 
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
• Si le fichier ne s'ouvre pas, il se trouve ici &#8594; C:\ComboFix.txt

nickcold · Answer

ici rapport combo : http://www.cijoint.fr/cjlink.php?file=cj201003/cijn8U7fx0.txt

ici rapport Diag (suite combo) : http://www.cijoint.fr/cjlink.php?file=cj201003/cijW8iiSta.txt

nickcold · Answer

up :)

anthony5151 · Answer

Le script de Combofix n'a pas été pris en compte... TU es sûr de l'avoir lancé via le CFScript (et non directement comme la première fois) ?

Peux-tu réessayer stp ?

nickcold · Answer

j'ai essayé à nouveau mais même rapport... inutile de le poster

j'ignore pourquoi ce ne le prend pas...

je dépanne à distance via LogMeIn, la connexion est coupée pendant l'intervention et dès que je récupère la main... j'ai le rapport sous les yeux

est ce que ton fichier est correct ?

nickcold · Answer

Rootkit::
c:\windows\system32\fjhdyfhsn.bat  <<<<<    j'ai supprimé manuellement
c:\windows\system32\drivers\qzlopxbu.sys  <<< impossible à supprimer même en mode sans echec
c:\documents and settings\NetworkService\Application Data\rbuwzv.dat    <<< supprimé manuellement

Driver::
qzlopxbu       

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\qzlopxbu]  <<< impossible à supprimer

as tu une autre piste s'il te plait ?

anthony5151 · Answer

Oui le script est correct, c'est bizarre. Est-ce qu'il était bien décompressé et situé sur le Bureau avant que tu ne le glisses sur l'icone de Combofix ?
C'est normal que la connection soit coupée, Combofix arrête tous les processus non-essentiels avant de travailler. Il n'y a personne devant l'ordinateur ?


On peut utiliser un autre logiciel pour supprimer cet élément (tu ne pourras pas le faire manuellement, c'est un rootkit) :


 /!\ ATTENTION /!\
Le script proposé ici a été écrit spécialement pour nickcold, il n'est pas transposable sur un autre ordinateur !


/!\ Désactive tous tes logiciels de protection et ferme tous tes programmes /!\

Télécharge The Avenger (de Swandog46) sur le Bureau.
Clique sur ce lien. Copie le script qu'il contient, et colle le dans le cadre « Input script here » de The Avenger.

Vérifie que la case « Scan for rootkits » est cochée et que « Automatically disable any rootkits found » est décochée, puis clique sur Execute. Ne touche à rien pendant que le programme travaille !

A la fin, il te demandera de redémarrer ("reboot"), accepte en cliquant sur Oui. Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le Bureau, ceci est normal.
 
Après le redémarrage, un rapport va s'ouvrir (il est aussi sauvegardé ici : C:\avenger.txt) &#8594; Copie/colle ce rapport dans ta prochaine réponse stp.

nickcold · Answer

salut, 

bon cette fois c'est cool !

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "qzlopxbu" disabled successfully.
Driver "qzlopxbu" deleted successfully.
File "c:\windows\system32\drivers\qzlopxbu.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.


il me reste à remettre un antivirus

j'avais avast 4.8, j'ai desinstallé sans enlever l'autoprotection et depuis je ne peux pas installer le 5... mais peut être c'était ce soucis de rootkit !

cf. : https://forums.commentcamarche.net/forum/affich-16832345-instal-avast-failed-to-load-language-dll

nickcold · Answer

tous mes soucis sont réglés, meme AVAST installé fonctionne !

encore merci

entre rémois, ça aide !

anthony5151 · Answer

Attends avant de me remercier, ce n'est pas fini ;)
Il reste à nettoyer les traces de la désinfection et surtout à sécuriser ton ordinateur... Pour ça, j'ai besoin de deux derniers rapports stp :

• Télécharge hijackthis.
• Installe le, lance le et clique sur "Do a system scan and save a logfile". 
• Fais un copier-coller du rapport entier sur le forum

Accompagne le d'un nouveau rapport ZHPDiag (hébergé, comme d'habitude)

nickcold · Answer

hijackthis : http://www.cijoint.fr/cjlink.php?file=cj201003/cijEyFRe02.txt

zhpdiag : http://www.cijoint.fr/cjlink.php?file=cj201003/cijmizOuIV.txt

anthony5151 · Answer

Voici donc les conseils de finition ;)



1) Les barres d'outils

Souvent installées avec d'autres logiciels sans que l'utilisateur y fasse attention, les barres d'outils se multiplient sur les ordinateurs et ont deux résultats : ralentir les ordinateurs et provoquer des bugs des navigateurs.
Je te conseille de désinstaller la tienne qui est inutile  (barre d'outil Windows Live).
Pour ça, ferme ton navigateur, puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle la Windows Live Toolbar.



2) Sécurise ton ordinateur 

• Logiciels de protection : 
Garde un seul antivirus (Avast dans ton cas) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps.

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

• Internet Explorer n'est pas à jour, c'est une faille de sécurité (même si tu ne l'utilises pas)
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes. Si Internet Explorer n'y est pas, télécharge et installe IE 8 depuis ce lien : IE 8

• Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : https://java.com/fr/

• Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l'ActiveX et celui-ci pour le plugin.

• Tu peux ensuite utiliser ce petit programme pour vérifier régulièrement la présence de nouvelles versions de tes logiciels (choisis la version sans installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)



3) Relance Hijackthis (pour la dernière fois), choisis "Do a system scan only" et coche les lignes suivantes qui sont inutiles (j'ai intégré les barres d'outils dans cette liste) : 

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll    
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll    
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKUS\S-1-5-21-165564061-236459591-3290174961-1009\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'LogMeInRemoteUser')    
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')    
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')    

Coche également toutes les lignes commençant par 016 puis clique sur "Fix checked"



4) Il faut supprimer tous les outils que nous avons utilisés : Lance ZHPFix &#8594; clique sur le « A » rouge (Nettoyeur de Tools) &#8594; clique sur « Nettoyer »
Tutoriel pour t'aider



5) Télécharge Ccleaner. Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation), puis lance le.
Clique sur Nettoyeur &#8594; Analyse &#8594; Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre &#8594; corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



6) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.



7) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



8) Pour finir, je t'invite à faire régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Dans ce sujet, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre. 




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

nickcold · Answer

merci j'ai fait tout cela !


sinon sur mon PC actuel, lorsqu'il était neuf avec beaucoup moins de soft...
le serpentin du démarrage passait 3/4 fois.. là c'est 10/11 fois... on peut réduire ce temps de démarrage
et également tous les services de démarrage ?

qu'as tu besoin comme rapport pour m'aider ?

nickcold · Answer

up

Comment supprimer Winsudate\gibusr.exe

26 réponses

Discussions similaires

Newsletters